BoxのDLP(Data Loss Prevention)ポリシーを導入したものの、特定のユーザーだけ期待通りに動作しないというトラブルはよく発生します。管理者側でポリシーを設定しても、ユーザーごとの共有設定やアクセス権限が影響し、DLPが適用されないケースがあります。特に社外共有ポリシーが原因となっている場合、設定の見直しが必要です。この記事では、特定ユーザーだけDLPポリシーが効かない原因を切り分け、社外共有ポリシーの確認・修正手順を具体的に解説します。
【要点】この記事で確認すること
- 最初に見る場所: Box管理コンソールの「共有設定」タブで、ユーザーごとの外部共有許可レベルを確認する。
- 切り分けの軸: ユーザーが所属するグループやフォルダの権限設定、DLPポリシーの適用範囲(ユーザー単位 or フォルダ単位)。
- 注意点: DLPポリシーは「すべてのユーザー」に適用されるが、外部共有ポリシーで制限をかけているとDLPが介入しない場合がある。勝手に共有設定を変更するとセキュリティホールになる可能性があるため、管理者と相談しながら進める。
ADVERTISEMENT
目次
DLPポリシーが特定ユーザーに適用されない原因
原因1:ユーザーの外部共有権限が広すぎる
BoxのDLPポリシーは、外部共有リンクの作成時に発動します。しかし、ユーザーに「会社全体」「公開」などの広い共有権限が付与されていると、DLPポリシーがその共有アクションを「許可された操作」と認識し、警告やブロックを行わない場合があります。特に「外部共有を完全に許可」しているユーザーは、DLPポリシーの対象外となりやすいです。
原因2:DLPポリシーのスコープが限定されている
DLPポリシーは、特定のフォルダやコンテンツタイプにのみ適用されるよう設定されることがあります。そのため、ユーザーがDLPポリシーの対象外のフォルダで共有操作を行った場合、ポリシーは発動しません。また、ポリシーの適用先が「すべてのユーザー」ではなく、一部のグループに限定されている可能性もあります。
原因3:共有リンクの種類によるDLPの動作差異
Boxでは、「招待のみ」の共有リンクと「リンクを知っている全員」の共有リンクでDLPの動作が異なります。特定ユーザーが「招待のみ」リンクを使用している場合、DLPポリシーのトリガー条件を満たさず、結果としてポリシーが適用されないことがあります。DLPポリシーは通常、「リンクを知っている全員」など外部に公開されるリンクに対して設定されるためです。
社外共有ポリシーとDLPポリシーの関係
Boxのセキュリティ設定は多層的です。社外共有ポリシーはユーザーが外部とファイルを共有する際の基本的な許可レベルを定義します。一方、DLPポリシーは共有操作が行われた後に、その内容を検査して機密情報が含まれていないかを確認します。この2つが競合する場合、DLPポリシーが優先されるのが一般的ですが、社外共有ポリシーが「共有を完全に許可」していると、DLPポリシーの「ブロック」アクションが無効化される可能性があります。具体的には、社外共有ポリシーで「外部との共有を許可」に設定されているユーザーは、DLPポリシーで「ブロック」と設定されていても、例外扱いとなりポリシーが効かないケースがあります。そのため、特定ユーザーのDLP不具合を解決するには、ユーザー個別の外部共有設定をまず確認し、必要に応じて制限する必要があります。
確認手順
以下の手順で、特定ユーザーのDLPポリシー適用状況と社外共有ポリシーの設定を確認してください。
- Box管理コンソールに管理者アカウントでログインします。
- 左側メニューから「ユーザー」をクリックし、該当ユーザーの行を選択します。
- ユーザー詳細画面で「共有設定」タブを開き、「外部共有」の欄を確認します。ここで「外部との共有を許可」または「招待のみ」などの設定が表示されます。
- 次に、左側メニューから「ポリシー」→「DLPポリシー」を選択し、当該ユーザーが関連するポリシーをクリックして編集します。
- ポリシーの「適用範囲」を確認します。「すべてのユーザー」「特定のグループ」「特定のフォルダ」のいずれかになっています。ユーザーが対象グループに含まれているか、対象フォルダにアクセス権があるかを確認します。
- 該当ユーザーで実際にテスト共有を行い、DLPポリシーが発動するか確認します。テストでは、機密情報を含むファイルを外部共有リンクで共有し、ポリシーが警告やブロックを表示するか見ます。
- もしポリシーが発動しない場合は、ユーザーの外部共有設定を「招待のみ」に変更してみて、再度テストします。変更は管理コンソールの「共有設定」で行います。
ユーザー別設定の比較表
| ユーザーの外部共有設定 | DLPポリシーの動作 | 推奨設定 |
|---|---|---|
| 外部共有を完全に許可 | DLPが発動しない可能性が高い | 「招待のみ」または「禁止」に変更 |
| 招待のみ許可 | DLPが正常に発動する | そのまま維持 |
| 外部共有を禁止 | DLP不要(共有自体が不可) | 状況に応じて |
失敗パターンと対策
失敗1:全体の外部共有ポリシーを変更してしまった
特定ユーザーだけの問題なのに、組織全体の外部共有ポリシーを緩和してしまうと、全ユーザーのセキュリティリスクが高まります。対策として、ユーザー個別の設定を変更するのが基本です。管理コンソールの「ユーザー」画面で該当者のみ編集するようにしましょう。また、グループ単位で設定を管理している場合は、グループの外部共有設定を確認します。
失敗2:DLPポリシーの適用範囲を間違える
DLPポリシーを特定フォルダに限定しているのに、ユーザーが別のフォルダで共有しても効果がありません。ポリシーの適用範囲は定期的に見直し、必要に応じて「すべてのフォルダ」に拡大するか、ユーザーがよく利用するフォルダを追加してください。ただし、全フォルダに適用するとパフォーマンスに影響する場合があるため、テスト環境で検証を行います。
失敗3:テスト時にキャッシュを考慮しない
設定変更後、即座にDLPが反映されないことがあります。Boxは設定のキャッシュを一定時間保持するため、変更後は数分待ってからテストする必要があります。また、ブラウザのキャッシュも影響するため、シークレットウィンドウでテストすることを推奨します。
管理者に確認すべき情報
DLPポリシーが特定ユーザーに効かない場合、管理者に以下の情報を伝えると解決がスムーズです。
- 該当ユーザーのユーザー名とメールアドレス
- DLPポリシー名とその適用範囲設定
- ユーザーの現在の外部共有設定(「外部共有を許可」など)
- ユーザーが属するグループとその外部共有設定(グループ単位で上書きされている可能性)
- テスト時に使用したファイルの種類や共有リンクの種類
- 発生時刻と再現手順
よくある質問
Q1. DLPポリシーはすべての共有リンクに適用されますか?
いいえ。DLPポリシーは、設定で指定した共有リンクの種類にのみ適用されます。デフォルトでは「リンクを知っている全員」など外部公開リンクが対象ですが、「招待のみ」のリンクは対象外になる場合が多いです。ポリシーの設定で「すべての共有リンク」を対象にすることも可能です。
Q2. 外部共有ポリシーを変更せずにDLPを効かせる方法はありますか?
外部共有ポリシーを変更せずにDLPを効かせるには、DLPポリシーのアクションで「許可して監査」ではなく「ブロック」を選択し、さらに「このポリシーを外部共有設定より優先する」ようなオプションがあれば有効にします。ただし、Box製品の仕様上、外部共有ポリシーが「外部との共有を許可」になっていると、ブロックが無視されることがあります。そのためやはり外部共有ポリシーの調整が必要です。
Q3. 特定ユーザーだけDLPが効かない原因は、グループ設定の可能性もありますか?
はい。ユーザーが属するグループに対して異なる外部共有ポリシーが設定されている場合、グループ設定が優先されるため、ユーザー個別の設定が無視されることがあります。管理コンソールの「グループ」画面で該当グループの共有設定を確認し、必要に応じてグループ設定を変更するか、ユーザーを別のグループに移動させてください。
まとめ
特定ユーザーにDLPポリシーが適用されない場合、まずはそのユーザーの外部共有設定を確認し、必要に応じて制限するのが最も効果的です。DLPポリシーの適用範囲や共有リンクの種類も見直すことで、原因を特定できます。管理者に正確な情報を伝え、組織全体のセキュリティバランスを保ちながら設定を調整してください。また、定期的に設定を見直し、変更があればテストを行い、意図しないDLPの無効化を防ぎましょう。
ADVERTISEMENT
超解決 第一編集部
疑問解決ポータル「超解決」の編集チーム。正確な検証と、現場視点での伝わりやすい解説を心がけています。
Office・仕事術の人気記事ランキング
- 【Outlook】添付ファイルが「Winmail.dat」に化ける!受信側が困らない送信設定
- 【神技】保存せずに閉じたExcel・Wordファイルを復元する!消えたデータを復活させる4つの救出法
- 【Teams】メッセージを「保存済み」にして後で読む!重要なチャットをブックマークして整理する技
- 【Word】差し込み印刷で数字の桁を整える!金額にカンマ(桁区切り)を入れる設定
- 【Copilot】「サービスに接続できません」エラーの原因切り分けと対処法
- 【Word】校閲機能の基本!赤字(変更履歴)とコメントで修正を見える化する
- 【PDF】PDFに入力した文字の「フォント・サイズ・色」を変更するプロパティ設定
- 【PDF】PDFのサムネイルプレビューが表示されない!エクスプローラーの設定とAcrobat環境設定
- 【Teams】会議の「参加者リスト」を出席後にダウンロードする!誰が参加したか確認する手順
- 【PDF】結合するPDFの「用紙サイズ」がバラバラな時、すべてを「A4サイズ」に強制リサイズしてから結合する
